Compartilhar via

Transferir um Gateway de Aplicativo do Azure e o WAF (Firewall do Aplicativo Web) para outra região

  • Artigo

Há vários motivos pelos quais talvez você queira mover seus recursos existentes do Azure de uma região para outra. Talvez você queira:

  • Aproveitar uma nova região do Azure.
  • Implantar recursos ou serviços disponíveis apenas em regiões específicas.
  • Atender aos requisitos internos de política e governança.
  • Alinhar-se com fusões e aquisições da empresa
  • Atender aos requisitos de planejamento de capacidade.

Este artigo mostra a abordagem, as diretrizes e as melhores práticas para transferir o Gateway de Aplicativo e o WAF entre regiões do Azure.

Importante

As etapas de reimplantação descritas neste documento só se aplicam ao gateway de aplicativo e não aos serviços de back-end para os quais as regras do gateway de aplicativo roteiam o tráfego.

Pré-requisitos

  • Verifique se a sua assinatura do Azure permite que você crie SKUs do Gateway de Aplicativo na região de destino.

  • Planeje sua estratégia de transferência com uma compreensão de todos os serviços necessários para o Gateway de Aplicativo. Para os serviços que estão no escopo da transferência, você precisa selecionar a estratégia de transferência apropriada.

    • Garanta que a sub-rede do Gateway de Aplicativo no local de destino tenha espaço de endereço suficiente para acomodar o número de instâncias necessárias para atender ao tráfego máximo esperado.

  • Para a implantação do Gateway de Aplicativo, você precisa considerar e planejar a instalação dos seguintes sub-recursos:

    • Configuração de front-end (IP público/privado)
    • Recursos do pool de back-end (por ex.: VMs, Conjuntos de Dimensionamento de Máquinas Virtuais, Serviços de Aplicativos do Azure)
    • Link privado
    • Certificados
    • Configurações de Diagnóstico
    • Notificações de Alerta

  • Garanta que a sub-rede do Gateway de Aplicativo no local de destino tenha espaço de endereço suficiente para acomodar o número de instâncias necessárias para atender ao tráfego máximo esperado.

Reimplantar

Para transferir o Gateway de Aplicativo e o WAF opcional, você precisa criar uma implantação separada do Gateway de Aplicativo com um novo endereço IP público no local de destino. Em seguida, as cargas de trabalho são migradas da configuração de Gateway de Aplicativo de origem para a nova. Como você está alterando o endereço IP público, também são necessárias alterações na configuração do DNS, das redes virtuais e das sub-redes.

Se você quiser apenas transferi-lo para obter suporte a zonas de disponibilidade, confira Migrar o Gateway de Aplicativo e o WAF para obter o suporte de zona de disponibilidade.

Para criar um Gateway de Aplicativo separado, um WAF (opcional) e um endereço IP:

  1. Acesse o portal do Azure.

  2. Se você usar a terminação TLS para o cofre de chaves, siga o procedimento de transferência do Key Vault. Verifique se o cofre de chaves está na mesma assinatura do Gateway de Aplicativo transferido. Você pode criar um certificado ou usar o certificado existente para o Gateway de Aplicativo transferido.

  3. Confirme se a rede virtual foi transferida antes de você fazer a transferência. Para saber como transferir sua rede virtual, confira Transferir a Rede Virtual do Azure.

  4. Confirme se o servidor ou o servidor do pool de back-end, como VM, Conjuntos de Dimensionamento de Máquinas Virtuais, PaaS, é transferido antes de você fazer a transferência.

  5. Crie um Gateway de Aplicativo e configure um novo endereço IP público de front-end para a rede virtual:

  6. Se você tiver uma configuração do WAF ou uma política do WAF somente de regras personalizadas, faça a transição dela para uma política completa do WAF.

  7. Se você usar uma rede de Confiança Zero (região de origem) para aplicativos Web com o Firewall do Azure e o Gateway de Aplicativo, siga as diretrizes e as estratégias descritas em Rede de Confiança Zero para aplicativos Web com o Firewall do Azure e o Gateway de Aplicativo.

  8. Verifique se o Gateway de Aplicativo e o WAF estão funcionando conforme o esperado.

  9. Migre a configuração para o novo endereço IP público.

    1. Alterne pontos de extremidade públicos e privados para que eles apontem para o novo gateway de aplicativo.
    2. Migre a configuração de DNS para o novo endereço IP público e/ou privado.
    3. Atualize os pontos de extremidade nos aplicativos/serviços de consumidor. Em geral, as atualizações de aplicativos/serviços de consumidor são feitas por meio de uma alteração e da reimplantação de propriedades. No entanto, execute esse método sempre que um novo nome do host for usado em relação à implantação na região antiga.

  10. Exclua o Gateway de Aplicativo de origem e os recursos do WAF.

Transfira os certificados para a terminação TLS Premium (Gateway de Aplicativo v2)

Os certificados para a terminação TLS podem ser fornecidos de duas maneiras:

  • Carregar. Forneça um certificado TLS/SSL carregando-o diretamente no Gateway de Aplicativo.

  • Referência do Key Vault. Forneça uma referência a um certificado ou a um segredo do Key Vault existente ao criar um ouvinte habilitado para HTTPS/TLS. Para obter mais informações sobre como baixar um certificado, confira Transferir um cofre de chaves para outra região.

Aviso

Há suporte para referências a cofres de chaves de outras assinaturas do Azure, mas elas precisam ser configuradas por meio do modelo do ARM, do Azure PowerShell, da CLI, do Bicep etc. No momento, não há suporte para a configuração do cofre de chaves entre assinaturas no Gateway de Aplicativo por meio do portal do Azure.

Siga o procedimento documentado para habilitar a terminação TLS com certificados do Key Vault para o Gateway de Aplicativo transferido.